您正在檢視此安全佈告欄的舊版本。如需最新版本,請造訪:「處理器推測執行研究披露」。
相關內容:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754
更新截止時間:2018/01/07 11:30 PST
這是有關此問題的最新情況。
Amazon EC2
Amazon EC2 機群中的所有執行個體都仍然受到保護,免受之前所列 CVE 的所有已知威脅向量的攻擊。客戶的執行個體受到保護,免受來自其他執行個體的此類威脅。我們尚未發現對絕大多數 EC2 工作負載有重大的效能影響。
針對 AWS Batch、Amazon EC2、Amazon Elastic Beanstalk、Amazon Elastic Container Service、Amazon Elastic MapReduce 和 Amazon Lightsail 建議的客戶動作
雖然所有客戶執行個體都受保護,但是我們建議客戶修補執行個體作業系統。這會加強作業系統提供的保護,以隔離在同一個執行個體內執行的軟體。如需更多詳細資訊,請參閱有關修補程式可用性和部署的特定供應商指南。
特定供應商指南:
- Amazon Linux – 更多詳細資訊請見下方。
- Microsoft Windows – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- RedHat Enterprise Linux – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux – https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
對於未列出的作業系統,客戶應諮詢其作業系統或 AMI 供應商,以獲取更新和說明。
其他 AWS 服務的更新
Amazon Linux AMI (佈告欄 ID:ALAS-2018-939)
Amazon Linux 儲存庫中提供了更新的 Amazon Linux 核心。在 2018 年 1 月 3 日晚上 10:45 (GMT) 或之後使用預設 Amazon Linux 組態啟動的 EC2 執行個體,會自動包含更新的套件。對於使用現有 Amazon Linux AMI 執行個體的客戶,應執行以下命令,以確保其收到更新的套件:
sudo yum update kernel
yum 更新完成後,需要重新啟動,更新才會生效。
Amazon Linux AMI 安全中心提供了有關此佈告欄的更多資訊。
EC2 Windows
我們已更新 AWS Windows AMI。這些功能現在可供客戶使用,並且 AWS Windows AMI 已安裝必要的修補程式,並啟用了登錄機碼。
Microsoft 已針對 Server 2008R2、2012R2 和 2016 提供 Windows 修補程式。修補程式可透過 Server 2016 的內建 Windows Update Service 獲得。我們正在等待 Microsoft 提供有關 Server 2003、2008SP2 和 2012RTM 修補程式可用性的資訊。
在 EC2 上執行 Windows 執行個體且啟用了「自動更新」的 AWS 客戶,應在更新可用時,執行自動更新以下載並安裝必要的 Windows 更新。
請注意,Server 2008R2 和 2012R2 修補程式目前無法透過 Windows Update 獲得,需要手動下載。Microsoft 告知這些修補程式將在 1 月 9 日 (週二) 提供。
在 EC2 上執行 Windows 執行個體且未啟用「自動更新」的 AWS 客戶,應按照以下說明在更新可用時手動安裝必要的更新:http://windows.microsoft.com/en-us/windows7/install-windows-updates。
請注意,對於 Windows Server,Microsoft 需要採取額外步驟,才能啟用更新中針對此問題的保護功能,請參閱以下說明:https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution。
ECS 最佳化 AMI
我們已發布 Amazon ECS 最佳化 AMI 2017.09.e 版,它合併了針對此問題的所有 Amazon Linux 保護。我們建議所有 Amazon ECS 客戶升級至 AWS Marketplace 中提供的最新版本。選擇原地更新現有執行個體的客戶應在每個容器執行個體上執行下列命令:
sudo yum update kernel
需要重新啟動容器執行個體才能完成更新。
我們建議未使用 ECS 最佳化 AMI 的 Linux 客戶視需要向任何替代/第三方作業系統、軟體或 AMI 的供應商諮詢,來取得更新與指示。您可在 Amazon Linux AMI 安全中心中查看 Amazon Linux 的相關指示。
Microsoft 修補程式可用後,會發布更新的 Microsoft Windows EC2 和 ECS 最佳化 AMI。
Elastic Beanstalk
48 小時後我們將會發布包含核心更新的新平台版本,以應對此問題。對於 Linux 環境,我們建議啟用「受管平台更新」,以便在更新可用時,在您自己選擇的維護時段自動更新。更新可用後,我們將發布有關 Windows 環境的說明。
AWS Fargate
執行 Fargate 任務的所有基礎設施均已如上所述進行修補,客戶不需要採取任何動作。
Amazon FreeRTOS
Amazon FreeRTOS 及其支援的 ARM 處理器無需也無適用的更新。
AWS Lambda
執行 Lambda 函式的所有執行個體均已如上所述進行修補,客戶不需要採取任何動作。
RDS
每個 RDS 受管客戶資料庫執行個體都專用於僅為單一客戶執行資料庫引擎,沒有其他客戶可存取的處理程序,也沒有讓客戶在基礎執行個體上執行程式碼的功能。在 AWS 完成所有基礎設施的基礎 RDS 保護後,此問題的處理程序對核心或處理程序對處理程序問題不會讓客戶面臨風險。目前大多數資料庫引擎 RDS 支援都尚未報告已知的處理程序內問題。以下是其他特定資料庫引擎的詳細資訊,除非另有說明,否則客戶無需採取任何動作。有更多資訊後,我們將立即更新此佈告欄。
RDS for MariaDB、RDS for MySQL、Aurora MySQL 和 RDS for Oracle 資料庫執行個體目前不需要客戶採取任何動作。
對於 RDS PostgreSQL 和 Aurora PostgreSQL,在預設組態中執行的資料庫執行個體目前不需要客戶採取任何動作。一旦可用,我們將為 plv8 擴充功能的使用者提供適當的修補程式。同時,已啟用 plv8 擴充功能 (預設情況下停用) 的客戶應考慮停用這些擴充功能,並檢閱 V8 的指導,網址為 https://github.com/v8/v8/wiki/Untrusted-code-mitigations。
對於 SQL Server 資料庫執行個體的 RDS,一旦 Microsoft 提供修補程式,我們就會發佈作業系統和資料庫引擎修補程式,讓客戶在自己選擇的時間進行升級。作業系統或資料庫引擎修補程式完成後,我們將更新此佈告欄。同時,啟用 CLR (預設情況下停用) 的客戶應檢閱 Microsoft 關於停用 CLR 擴充的指導,網址為 https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server。
VMware Cloud on AWS
請參閱 VMware 安全建議了解更多詳細資訊,網址為:https://www.vmware.com/security/advisories/VMSA-2018-0002.html。
WorkSpaces
AWS 會在下一個週末將 Microsoft 發佈的安全更新套用於大多數 AWS WorkSpaces。客戶需要在此期間重新啟動其 WorkSpaces。
自有授權 (BYOL) 客戶以及已在 WorkSpaces 中變更預設更新設定的客戶應手動套用 Microsoft 提供的安全更新。
請遵循 Microsoft 安全建議提供的說明進行操作:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002。安全建議包括指向同時適用於 Windows Server 和 Windows Client 作業系統的知識庫文章連結,可提供進一步的特定資訊。
具有這些安全更新的更新版 WorkSpaces 套件即將推出。已建立自訂服務包的客戶應更新其服務包,以包括安全更新本身。從沒有更新的服務包啟動的任何新 WorkSpaces 都會在啟動後立即收到修補程式,除非客戶變更了 WorkSpaces 中預設的更新設定,在這種情況下,客戶應該按照上述步驟手動套用 Microsoft 提供的安全更新。
WorkSpaces Application Manager (WAM)
我們建議客戶選擇以下其中一個行動方案:
選項 1:遵循 Microsoft 在 https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution 中提供的步驟,手動對 WAM Packager 和驗證程式正在執行的執行個體套用 Microsoft 修補程式。此頁提供進一步說明和 Windows Server 的相關下載。
選項 2:從 WAM Packager 和驗證程式的更新 AMI 中重新建立新的 WAM Packager 和驗證程式 EC2 執行個體,更新的 AMI 將於 2018/01/04 當日結束時推出。